exchange系列(四)如何保护exchange邮件服务器的安全
博主QQ:819594300
博客地址:http://zpf666.blog.51cto.com/
有什么疑問的朋友可以聯(lián)系博主,博主會(huì)幫你們解答,謝謝支持
理論部分:
???????? 郵件病毒的危害
?????????????????? 竊取郵件內(nèi)容
?????????????????? 破壞郵件
???????? 垃圾郵件的危害
?????????????????? 占用郵箱空間
?????????????????? 傳播不好的內(nèi)容
?????????????????? 查找正常的郵件速度緩慢,降低工作效率
安裝防病毒軟件
?????????????????? Froefrontprotection fro exchange server 這個(gè)防病毒軟件,主要的工作是防病毒,也可以用來防范垃圾郵件
?????????????????? fpf的安裝要求???????????
?????????????????????? 安裝有exchange 2010
?????????????????????? 操作系統(tǒng)至少是windows server 2003 sp2 以上版本
?????????????????????? 除了運(yùn)行exchange的所需內(nèi),還需要有2G的空閑內(nèi)存
?????????????????????? 2G的磁盤可用空間,不包含Exchange的所需可間
?????????????????????? 4核2.00GHZ以上的CPU
郵件安全
????????????? 想要實(shí)現(xiàn)郵件在傳輸過程中安全的傳輸,需要使用加密技術(shù),和數(shù)字簽名技術(shù)
????????????? 加密:是實(shí)現(xiàn)在傳輸過程中郵件的內(nèi)容是加密的
????????????? 簽名:是實(shí)現(xiàn)對(duì)方收到郵件之后,能夠確認(rèn)發(fā)件人的身
郵件加密和簽名的工作原理:
數(shù)據(jù)加密的過程如上圖所示
????????????? 首先找到郵件的正文,之后檢索收件人的公鑰,使用公鑰生成一次性會(huì)話秘鑰(會(huì)話秘鑰也就是對(duì)稱式秘鑰加密解密都是一把鑰匙),使用會(huì)話秘鑰將郵件正文加密,在使用公鑰將會(huì)話秘鑰加密,在將加密的會(huì)話秘鑰附加到郵件進(jìn)行傳輸
ps:檢索收件人的公鑰其實(shí)是在AD中檢索的,不是在客戶端本地。
數(shù)據(jù)解密的過程如下:
首先接受郵件(在收到的時(shí)候只能看見發(fā)件人,內(nèi)容看不見,還沒有進(jìn)行解密,打開的過程才是解密的過程)
在打開郵件的瞬間檢索收件人私鑰,用收件人的私鑰解開被公鑰加密的一次性會(huì)話秘鑰,用解開的一次性會(huì)話秘鑰進(jìn)行解開郵件正文,看見郵件正文
ps:解密檢索收件人的私鑰是在本地檢索的。
以上是加密解密的過程?
接下來簽名的過程:
簽名的過程
???????? 找到郵件正文,計(jì)算出郵件的哈希值,用收件人的私鑰加密哈希值,附加到郵件中傳輸(發(fā)件人的公鑰也附加進(jìn)行傳輸)
解簽名的過程
???????? 接收到郵件,檢索加密的哈希值,檢索郵件正文,計(jì)算郵件的哈希值,檢索發(fā)件人的公鑰,用發(fā)件人的公鑰解開被加密的哈希值,比較兩個(gè)哈希值,驗(yàn)證郵件簽名(哈希值一樣則數(shù)據(jù)沒有被改過,否則則被修改)
?
如果即加密又簽名責(zé)先簽名,后加密
?
總結(jié):使用收件人的公鑰是加密,使用發(fā)件人的私鑰是簽名
實(shí)驗(yàn)案例部分:
???? 實(shí)驗(yàn)案例一:配置Exchange防病毒功能
??? 需求分析
??? beijing公司已經(jīng)部署了Exchange Server 2010郵件系統(tǒng),實(shí)現(xiàn)了公司內(nèi)外的郵件收發(fā)。現(xiàn)在用戶抱怨總是收到來自shanghai.com服務(wù)器發(fā)來的病毒郵件。Beijing公司的經(jīng)理對(duì)此下達(dá)任務(wù),要求管理員對(duì)郵件服務(wù)器做掃描作業(yè),防止病毒文件***。
??? 現(xiàn)管理員開始配置郵件服務(wù)器的防病毒郵件功能,以此來保證企業(yè)郵件的安全
??? 實(shí)驗(yàn)思路
??? 配置ForefrontProtection? for Exchange Server
??? 安裝ForefrontProtection? for Exchange Server
??? 啟動(dòng)“郵箱實(shí)時(shí)掃描”的“實(shí)時(shí)防病毒掃描”和“實(shí)時(shí)反間諜軟件掃描”
??? 配置shanghai.com用戶發(fā)送, 查看beijing.com郵件服務(wù)器上的隔離效果
??? 在shanghai.com上讓用戶發(fā)送一封病毒郵件
??? 打開ForefrontProtection Server
??? 查看“服務(wù)器安全視圖”中的“隔離”效果。
虛擬機(jī)環(huán)境如下:
mail.beijing.com:192.168.1.101
域beijing.com:192.168.1.100
域shanghai.com:192.168.1.200
mail.shanghai.com:192.168.1.201
實(shí)驗(yàn)步驟:
1、安裝安裝ForefrontProtection for Exchange Server
1)在mail.beijing.com郵件服務(wù)器上安裝Forefront Protection? forExchange Server
雙擊軟件forefrontexchangesetup.exe
2)
3)向?qū)崾菊f:安裝過程中需要停止“Microsoft Exchange 傳輸”服務(wù),安裝完成后會(huì)自動(dòng)恢復(fù),所以安裝該軟件前需要確定Exchange服務(wù)器是否處于維護(hù)期,Exchange服務(wù)運(yùn)行期間不要安裝該軟件。
4)可以為程序文件和數(shù)據(jù)文件指定安裝路徑,我在這里就默認(rèn)了。
5)在代理信息頁(yè)面,若真實(shí)環(huán)境中,公司有多臺(tái)Exchange郵件服務(wù)器,要安裝多個(gè)Forefront Protection forExchange Server軟件,則可以讓其中一個(gè)Forefront Protection forExchange Server所在的Exchange服務(wù)器同時(shí)兼任代理服務(wù)器,其他的Exchange服務(wù)器的Forefront Protection forExchange Server軟件更新都找代理服務(wù)器,這樣會(huì)提高更新效率,但是一般實(shí)際環(huán)境中,一個(gè)公司就一臺(tái)Exchange服務(wù)器,所以一般都是默認(rèn)“下一步”即可。
6)可以立即也可以稍后啟用反垃圾郵件功能,這里我就立即啟用了。
7)在真實(shí)環(huán)境中,最好選擇第一項(xiàng),而這里實(shí)驗(yàn)我就選擇第二項(xiàng)了。
8)加入不加入客戶體驗(yàn)改善計(jì)劃,你隨便,這里我就不加入了。
9)確認(rèn)以上配置都無誤后,點(diǎn)擊“下一步”
10)確認(rèn)安裝配置并立即啟動(dòng)Forefront Online Protection for Exchange Gateway安裝程序
剩下的和上面差不多全部下一步即可,這里不再截圖說明了。
11)全部安裝完成
2、安裝完成,之后在開始菜單中可以打開fpf控制臺(tái),可以在這里使用到服務(wù)器和企業(yè)層面配置自動(dòng)化調(diào)度掃描、病毒定義更新和報(bào)告等功能。
3、配置和測(cè)試郵件防病毒功能
1)這里點(diǎn)確定即可,因?yàn)槭菍?shí)驗(yàn)沒必要激活,默認(rèn)可以使用119天。
2)進(jìn)入fpf控制臺(tái),默認(rèn)是進(jìn)入到儀表板界面
3)單擊左側(cè)“策略管理”→確認(rèn)“郵箱實(shí)時(shí)掃描”的“實(shí)時(shí)防病毒掃描”和“實(shí)時(shí)反間諜軟件掃描”已經(jīng)開啟
4)下面開始驗(yàn)證“郵箱實(shí)時(shí)掃描”功能
現(xiàn)在上海公司的李四發(fā)一封帶病毒的郵件給北京公司的張三
5)登錄北京公司的張三郵箱賬戶查看
6)打開這個(gè)附件看一看
7)我們?nèi)タ匆豢磃pf,可以看見fpf發(fā)現(xiàn)了一個(gè)病毒
8)在事件里可以看見該病毒已經(jīng)被成功隔離
9)在隔離區(qū)可以看見是誰發(fā)的病毒以及收件人是誰等詳細(xì)信息
實(shí)驗(yàn)案例二:實(shí)現(xiàn)郵件加密和簽名
???? 需求分析
??? bdqn公司的網(wǎng)絡(luò)是由域環(huán)境組成的,域名為bdqn.com。公司使用Exchange Server 2010構(gòu)建了郵件系統(tǒng)。公司希望財(cái)務(wù)部員工以郵件形式傳送財(cái)務(wù)數(shù)據(jù)時(shí),能夠保證財(cái)務(wù)數(shù)據(jù)的安全,防止郵件內(nèi)容泄露。同時(shí),防止其他部門的員工冒充財(cái)務(wù)部員工收發(fā)郵件
??? 實(shí)驗(yàn)思路
??? 在域控制器計(jì)算機(jī)上安裝證書服務(wù)(安裝為企業(yè)CA)。
??? 為用戶administrator和xiaoming申請(qǐng)證書,并發(fā)布到全球通訊簿。
???? administrator給用戶xiaoming。
??? xiaoming接收加密和簽名郵件,測(cè)試郵件的加密和簽名是否成功
注意:郵件的加密和簽名只適用于內(nèi)部用戶之間發(fā)郵件,不能用于內(nèi)部和互聯(lián)網(wǎng)接發(fā)郵件。
實(shí)驗(yàn)步驟:
1、搭建CA服務(wù)器
???? 使用DC的環(huán)境搭建CA服務(wù)器
下面選擇是企業(yè)CA還是獨(dú)立CA我這里是域環(huán)境,可以選擇企業(yè)CA否則只能選擇獨(dú)立CA,獨(dú)立CA需要手動(dòng)頒發(fā)證書比較麻煩,企業(yè)CA可以自動(dòng)頒發(fā):
下圖選擇根CA還是子CA這里只有一臺(tái)所以選擇根CA,一般情況下不會(huì)直接使用根CA為用戶頒發(fā)證書,而是在搭建一個(gè)子CA,子CA向根CA申請(qǐng)證書,申請(qǐng)完成之后根CA可以從網(wǎng)絡(luò)中移除以保證整個(gè)系統(tǒng)的安全性,根CA一癱瘓,整個(gè)系統(tǒng)就無法運(yùn)行:
2、在客戶端(我這里就在DC上操作了),打開web瀏覽器,選擇申請(qǐng)證書(certsrv 是默認(rèn)站點(diǎn)的虛擬目錄)
輸入用戶名和密碼,選擇申請(qǐng)證書(用戶必須在AD中存在,這里就用管理員administrator用戶進(jìn)行登錄)
注意不同瀏覽器,這塊不一樣,但不管出現(xiàn)什么,都點(diǎn)擊提交即可。
4、在客戶端應(yīng)用證書(這里我就用administrator在DC上操作了)
打開outlook客戶端,使用administrator進(jìn)行登錄,找到在頂部菜單欄找到工具——信任中心
可以看見下面證書的信息,點(diǎn)擊確定就可以了,什么都不用修改,很智能的:(如果需要添加多個(gè)用戶的,則要在此處新建選擇添加)
點(diǎn)擊發(fā)布到全球通訊簿,其實(shí)就是告訴AD的所有對(duì)象自己的證書:
這樣在新建郵件的時(shí)候,就可以加密或者是簽名了,兩個(gè)功能也可以同時(shí)進(jìn)行。
5、接下來配置xiaoming@bdqn.com
我們?nèi)ヒ慌_(tái)客戶機(jī)(該客戶機(jī)沒有加域,就是很普通的一臺(tái)客戶機(jī))
說明:如果自己沒有證書,是不能發(fā)送和接收加密或簽名的郵件的,那么也就是說只能在組織內(nèi)部發(fā)送加密或簽名的郵件。
需要在每臺(tái)員工的客戶端進(jìn)行以上的操作。,如果員工去其他計(jì)算機(jī)進(jìn)行登錄,那么還需要在新的電腦上進(jìn)行申請(qǐng),因?yàn)樗借€是在自己的計(jì)算機(jī)中。
(說明,在此之前一定要先創(chuàng)建好xiaoming@bdqn.com郵箱)
注意:一定要安裝到這里,否則不能生效,這也是和2008的區(qū)別,2008直接安裝就可以了,而2008R2不行。(該客戶端是win7)
6、客戶機(jī)這里我演示用xiaoming@bdqn.com在owa上配置添加證書(owa和outlook的添加都要會(huì),administrator我演示的是在outlook上添加,xiaoming我演示在owa上添加)
注意:點(diǎn)了保存不會(huì)跳轉(zhuǎn)頁(yè)面,我們可以自己手動(dòng)頁(yè)面。
7、現(xiàn)在用管理員和小明互發(fā)郵件測(cè)試
先用小明給管理員發(fā)一封加密驗(yàn)證的郵件測(cè)試:
看管理員是否收到:(收到了)
現(xiàn)在用管理員和小明發(fā)一封加密驗(yàn)證的郵件測(cè)試:
看小明是否收到:(收到了)
實(shí)驗(yàn)案例三:通過規(guī)則防止垃圾郵件
???? 需求分析
??? HY公司內(nèi)網(wǎng)現(xiàn)有用戶lisi的計(jì)算機(jī)中毒,現(xiàn)狀是一直***zhangsan的計(jì)算機(jī),管理員之前沒有部署相關(guān)的防病毒工具,現(xiàn)需要在Outlook上配置一定的規(guī)則,將lisi的郵件放入垃圾郵件中
??? 實(shí)驗(yàn)思路
??? 在客戶機(jī)上使用Outlook。
??? 在客戶機(jī)上打開規(guī)則,并對(duì)規(guī)則做配置。
??? 使用Tony的計(jì)算機(jī)做測(cè)試
注意:使用上一個(gè)實(shí)驗(yàn)的環(huán)境打開outlook找到頂部菜單欄的工具——選項(xiàng)
不讓小明給管理員發(fā)郵件:
在管理員的客戶機(jī)上操作,這里我就在DC上做了:
選擇組織發(fā)件人,將xiaoming@bdqn.com添加進(jìn)去就可以了。
下面還有一些示例,可以阻止整個(gè)后綴@xxx.com
發(fā)一封郵件測(cè)試一下:
注意:管理員收到了,這到底是怎么回事,原來我這么做只是想說一下,阻止發(fā)件人不能阻止組織內(nèi)的郵箱,只能阻止阻止外的郵箱,還有一種方法,那就是
——規(guī)則和通知
下面我們?nèi)ヒ?guī)則和通知,再一次阻止小明給管理員發(fā)郵件,并再次測(cè)試:
如果上圖沒有配置的話,在下圖可以配置:
下面開始用小明給管理員發(fā)郵件進(jìn)行測(cè)試:
在管理員的outlook上查看:
上面的實(shí)驗(yàn)成功了!
注:一般一個(gè)公司內(nèi)部是不阻止公司內(nèi)部人員發(fā)送郵件的,因?yàn)榕伦柚沟袅酥匾]件,對(duì)我們和公司來說損失。
?
這里我想說的是其實(shí)反垃圾郵件很少在客戶端配置而且這個(gè)是級(jí)別最低的,反垃圾分為三個(gè)級(jí)別分別是:
第一級(jí)別:防火墻上。
第二級(jí)別:邊緣傳輸服務(wù)器或者是中心傳輸服務(wù)器上。
第三級(jí)別:才是在客戶端上。
一般都會(huì)在防火墻上創(chuàng)建規(guī)則,拒絕哪個(gè)具體的地址的郵件進(jìn)入到組織內(nèi),也可以在邊緣服務(wù)器上創(chuàng)建傳輸規(guī)則那些郵件不可以進(jìn)入到組織內(nèi)。
總結(jié)
以上是生活随笔為你收集整理的exchange系列(四)如何保护exchange邮件服务器的安全的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 调试经验--图像
- 下一篇: Android --修改arr文件